Проверка подлинности на основе сертификата Microsoft Entra в iOS и macOS
В этом разделе рассматривается поддержка проверки подлинности на основе сертификатов (CBA) Microsoft Entra для устройств macOS и iOS.
Проверка подлинности на основе сертификата Microsoft Entra на устройствах macOS
Устройства под управлением macOS могут использовать CBA для проверки подлинности с помощью идентификатора Microsoft Entra ID с помощью сертификата клиента X.509. Microsoft Entra CBA поддерживается с сертификатами на устройстве и внешними защищенными аппаратными ключами безопасности. В macOS Microsoft Entra CBA поддерживается во всех браузерах и в приложениях майкрософт для сторонних разработчиков.
Браузеры, поддерживаемые в macOS
Microsoft Edge | Chrome | Safari | Firefox |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
Вход устройства macOS с помощью Microsoft Entra CBA
Microsoft Entra CBA сегодня не поддерживается для входа на основе устройств на компьютерах macOS. Сертификат, используемый для входа на устройство, может быть тем же сертификатом, который используется для проверки подлинности в идентификаторе Microsoft Entra из браузера или классического приложения, но сам вход устройства еще не поддерживается для идентификатора Microsoft Entra.
Проверка подлинности на основе сертификата Microsoft Entra на устройствах iOS
Устройства под управлением iOS могут использовать проверку подлинности на основе сертификатов (CBA) для проверки подлинности в идентификаторе Microsoft Entra с помощью сертификата клиента на устройстве при подключении к:
- мобильным приложениям Office, таким как Microsoft Outlook и Microsoft Word;
- клиентам Exchange ActiveSync (EAS).
Microsoft Entra CBA поддерживается для сертификатов на устройстве в собственных браузерах и в приложениях майкрософт на устройствах iOS.
Необходимые компоненты
- Версия iOS должна быть iOS 9 или более поздней.
- Microsoft Authenticator требуется для Приложение Office ликации и Outlook в iOS.
Поддержка сертификатов на устройстве и внешнего хранилища
Сертификаты на устройстве подготавливаются на устройстве. Клиенты могут использовать мобильные Управление устройствами (MDM) для подготовки сертификатов на устройстве. Так как iOS не поддерживает аппаратные защищенные ключи из коробки, клиенты могут использовать внешние устройства хранения для сертификатов.
Поддерживаемые платформы
- Поддерживаются только собственные браузеры
- Приложения, использующие последние библиотеки MSAL или Microsoft Authenticator, могут выполнять CBA
- Edge с профилем, когда пользователи добавляют учетную запись и вошли в службу поддержки профилей CBA
- Сторонние приложения Майкрософт с последними библиотеками MSAL или Microsoft Authenticator могут выполнять CBA
Браузеры
Microsoft Edge | Chrome | Safari | Firefox |
---|---|---|---|
❌ | ❌ | ✅ | ❌ |
Поддержка мобильных приложений Microsoft
Приложения | Поддержка |
---|---|
Приложение Azure Information Protection | ✅ |
Корпоративный портал | ✅ |
Microsoft Teams | ✅ |
Office (мобильный) | ✅ |
OneNote | ✅ |
OneDrive | ✅ |
Outlook | ✅ |
Power BI | ✅ |
Skype для бизнеса | ✅ |
Word/Excel/PowerPoint | ✅ |
Yammer | ✅ |
Поддержка клиентов Exchange ActiveSync
В iOS версии 9 и выше поддерживается собственный почтовый клиент iOS.
Чтобы определить, поддерживает ли ваше почтовое приложение Microsoft Entra CBA, обратитесь к разработчику приложения.
Поддержка сертификатов на аппаратном ключе безопасности
Сертификаты можно подготовить на внешних устройствах, таких как аппаратные ключи безопасности, а также ПИН-код для защиты доступа к закрытому ключу. Решение на основе мобильных сертификатов Майкрософт, связанное с ключами безопасности оборудования, — это простой, удобный, сертифицированный метод MFA с поддержкой фишинга ( FIPS (федеральные стандарты обработки информации).
Что касается iOS 16/iPadOS 16.1, устройства Apple обеспечивают поддержку собственного драйвера для смарт-карт, совместимых с USB-C или Lightning, совместимых с CCID. Это означает, что устройства Apple на iOS 16/iPadOS 16.1 видят устройство, совместимое с USB-C или Lightning, как смарт-карту без использования дополнительных драйверов или сторонних приложений. Microsoft Entra CBA работает на этих смарт-картах, совместимых с USB-A, USB-C или Lightning, совместимых с CCID.
Преимущества сертификатов на аппаратном ключе безопасности
Ключи безопасности с сертификатами:
- Можно использовать на любом устройстве и не требуется подготавливать сертификат на каждом устройстве, у пользователя
- Защищены оборудованием с помощью ПИН-кода, что делает их фишинг устойчивыми к фишингу
- Предоставление многофакторной проверки подлинности с помощью ПИН-кода в качестве второго фактора для доступа к закрытому ключу сертификата
- Соответствие требованиям отрасли к многофакторной идентификации на отдельном устройстве
- Справка в будущем, где можно хранить несколько учетных данных, включая ключи Fast Identity Online 2 (FIDO2)
Microsoft Entra CBA на мобильных устройствах iOS с YubiKey
Несмотря на то, что собственный драйвер Smartcard/CCID доступен на смарт-картах, совместимых с iOS/iPadOS для молнии, совместимой с CCID, соединитель YubiKey 5Ci Lightning не рассматривается как подключенная смарт-карта на этих устройствах без использования ПО промежуточного слоя PIV (проверка личных удостоверений), например Yubico Authenticator.
Предварительные требования для однократной регистрации
- У вас есть PIV-ключ YubiKey с сертификатом смарт-карты, подготовленным на нем.
- Скачайте приложение Yubico Authenticator для iOS на iPhone с версией 14.2 или более поздней версии.
- Откройте приложение, вставьте YubiKey или коснитесь близкого к полю связи (NFC) и выполните действия по отправке сертификата в цепочку ключей iOS.
Действия по тестированию YubiKey в приложениях Майкрософт на мобильных устройствах iOS
- Установите последнее приложение Microsoft Authenticator.
- Откройте Outlook и подключитесь к yubiKey.
- Выберите "Добавить учетную запись " и введите имя участника-пользователя (UPN).
- Нажмите кнопку " Продолжить " и появится средство выбора сертификатов iOS.
- Выберите общедоступный сертификат, скопированный из YubiKey, связанный с учетной записью пользователя.
- Щелкните YubiKey, необходимый для открытия приложения YubiKey authenticator.
- Введите ПИН-код для доступа к YubiKey и нажмите кнопку "Назад" в левом верхнем углу.
Пользователь должен успешно войти и перенаправиться на домашнюю страницу Outlook.
Устранение неполадок сертификатов с ключом безопасности оборудования
Что произойдет, если у пользователя есть сертификаты на устройстве iOS и YubiKey?
Средство выбора сертификатов iOS отображает все сертификаты на устройстве iOS и те, которые скопированы из YubiKey на устройство iOS. В зависимости от выбора пользователя сертификата они могут быть доставлены в yubiKey authenticator, чтобы ввести ПИН-код или напрямую пройти проверку подлинности.
My YubiKey заблокирован после неправильного ввода ПИН-кода 3 раза. Как это исправить?
- Пользователи должны увидеть диалоговое окно с сообщением о том, что было выполнено слишком много попыток ПИН-кода. Это диалоговое окно также отображается во время последующих попыток выбора сертификата или смарт-карты.
- YubiKey Manager может сбросить ПИН-код YubiKey.
После сбоя CBA параметр CBA в ссылке "Другие способы входа" также завершается ошибкой. Существует ли обходное решение?
Эта проблема возникает из-за кэширования сертификатов. Мы работаем над обновлением, чтобы очистить кэш. В качестве обходного решения нажмите кнопку "Отмена", повторите вход и выберите новый сертификат.
Microsoft Entra CBA с YubiKey завершается ошибкой. Какие сведения помогут отладить проблему?
- Откройте приложение Microsoft Authenticator, щелкните значок трех точек в правом верхнем углу и выберите "Отправить отзыв".
- Нажмите кнопку "Возникли проблемы?".
- Для выбора параметра нажмите кнопку "Добавить или войти в учетную запись".
- Описать все сведения, которые вы хотите добавить.
- Щелкните стрелку отправки в правом верхнем углу. Обратите внимание на код, указанный в появившемся диалоговом окне.
Как применить фишинго-устойчивый MFA с помощью аппаратного ключа безопасности в приложениях на основе браузера на мобильных устройствах?
Возможности проверки подлинности на основе сертификатов и надежности проверки подлинности условного доступа позволяют клиентам применять требования к проверке подлинности. Edge в качестве профиля (добавление учетной записи) работает с аппаратным ключом безопасности, таким как YubiKey, и политикой условного доступа с возможностью обеспечения надежности проверки подлинности может применять фишинговую проверку подлинности с помощью CBA.
Поддержка CBA для YubiKey доступна в последних библиотеках Библиотеки проверки подлинности Майкрософт (MSAL) и любом стороннем приложении, которое интегрирует последнюю версию MSAL. Все сторонние приложения Майкрософт могут использовать возможности проверки подлинности CBA и условного доступа.
Поддерживаемые операционные системы
Операционная система | Сертификат на устройстве или производный PIV | Смарт-карты и ключи безопасности |
---|---|---|
iOS | ✅ | Только поддерживаемые поставщики |
Поддерживаемые браузеры
Операционная система | Сертификат Chrome на устройстве | Смарт-карта и ключ безопасности Chrome | Сертификат Safari на устройстве | Смарт-карта и ключ безопасности Safari | Пограничный сертификат на устройстве | Пограничный смарт-карта или ключ безопасности |
---|---|---|---|---|---|---|
iOS | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
Поставщики ключей безопасности
Provider | iOS |
---|---|
YubiKey | ✅ |
Известные проблемы
- В iOS пользователи с проверкой подлинности на основе сертификатов увидят "двойной запрос", где они должны дважды щелкнуть параметр для использования проверки подлинности на основе сертификатов.
- В iOS пользователи с приложением Microsoft Authenticator также увидят почасовую запрос на вход для проверки подлинности с помощью CBA, если есть политика обеспечения надежности проверки подлинности, применяющая CBA, или если они используют CBA в качестве второго фактора.
- В iOS политика обеспечения подлинности, требующая CBA, и политика защиты приложений MAM в конечном итоге будет в цикле между регистрацией устройств и удовлетворенностью MFA. Из-за ошибки в iOS, когда пользователь использует CBA для удовлетворения требования MFA, политика MAM не удовлетворена ошибкой, возникаемой сервером, заявив, что регистрация устройства требуется, даже если устройство зарегистрировано. Эта неправильная ошибка приводит к повторной регистрации, и запрос зависает в цикле использования CBA для входа и регистрации устройства.
Следующие шаги
- Обзор Microsoft Entra CBA
- Техническое глубокое погружение для Microsoft Entra CBA
- Настройка Microsoft Entra CBA
- Microsoft Entra CBA на устройствах Android
- Вход в систему смарт-карты Windows с помощью Microsoft Entra CBA
- Идентификаторы пользователей сертификата
- Перенос федеративных пользователей
- Вопросы и ответы